基于云计算环境的虚拟网络安全防护技术

方红梅

（韶关市技师学院 广东 韶关 512000）

0 引言

进入21 世纪以来，我国网络技术、云计算、计算机技术及移动通信技术等均取得了实质性进步，尤其是移动通信技术经历了3G 时代到4G 时代再到5G 时代的跨步转变，得益于5G 技术的加持，云计算操作系统成为各个领域的主要信息运用平台，不断代替着传统的计算软件。 从客观层面来讲，云计算是一种基于互联网平台由各种计算处理程序合成的系统，其具备着资源配置动态化、需求服务自主化、网络中心化、服务可计量化、资源透明化与池化、信息共享化、数据自动计算与运用等特征。 云计算不仅为企业带来管理方式的变革，更为学校带来教育方式的革新，为医院、行政单位、公共服务机构等带来服务方式、生产模式的变革。 由于云计算促进了网络资源、数据、信息的交互共享，因此就增加了网络信息的暴露与外泄风险，尤其是企业、医院、行政单位、军事部门等涉及大量保密信息的机构，在使用云计算平台时，其面临着外界病毒侵犯、内部系统破坏等多重风险。 本文立足于云计算环境，对虚拟网络安全防护的关键性技术进行明确，提出技术运用方法，最终搭建起完整化的虚拟网络安全防护系统，为我国相关领域提供技术参考。

1 云计算的概况

云计算（cloud computing）是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序，然后通过多台服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户的一种技术方式。 云计算区别于网络计算，其往往与该计算技术概念相混淆。 网络计算属于一种由计算机组直接构成一个超级虚拟计算机，直接进行执行数据计算任务、信息分析任务的技术方式，而云计算则是依托于强大的网络系统，先是由网络系统提供基础资源与信息与数据依据，再通过网络系统连接计算机多个部件进行数据计算与信息加工分析的技术方式［1］。 编程系统、海量数据分布存储技术、海量数据管理技术、云计算平台管理技术、信息安全管理技术是构成云计算的核心要素，其中，信息安全管理技术的主体就是虚拟网络安全防护系统。 虚拟网络安全防护系统主要发挥着检测云计算平台数据、程序行为的功能，同时，也发挥着识别外界风险因素、内部风险因素的作用，是保证云计算平台安全化运营的关键［2］。

2 云计算环境下关键性虚拟网络安全防护技术

2.1 基于虚拟网络设备的数据转发控制技术

虚拟网络设备是云计算的重要支持部分，也是云计算平台进行数据存储、计算、分析时主要依靠的程序载体。虚拟网络设备在云计算系统中主要发挥着支持数据计算、共享、操作、调出、引用等功能［3］。 虚拟网络设备面临的风险包括人员对控制器、数据包的恶意篡改，被篡改后的虚拟网络系统会出现数据故障与信息变更，导致后续产出的相关数据不准或丢失。 因此，为了强化对虚拟网络系统的控制，确保云计算平台产生的数据、信息安全，目前较为常用且有效的安全防护技术是数据转发控制技术。 其技术原理是在云计算系统所在的计算机平台上载入一个数据转发控制软件或程序，其与云平台内部程序直接连接。 技术人员按照云平台的操作权限，事先将操作权限程序录入到数据转发控制软件中，数据转发控制软件就可以对云平台的登录界面、信息内容进行24 h 监测，在发现权限信息异常时会自动发出报警、弹窗提示、强制关闭系统等功能，达到对外界非法操作行为的阻拦［4］。

2.2 基于可信调用层次关联的租户行为监控技术

目前，对于恶意调用虚拟网络服务接口的操作以及网络病毒恶意窃取计算机系统信息的行为，一般采用基于可信调用层次关联的租户行为构建方法，通过构建起租户行为监控系统，达到对云计算环境下虚拟网络的调用流程关联分析与检测。 一方面，可信调用层次关联的租户行为是指云平台关联的计算机操作系统的所有用户，包括具备内部数据、信息管理的权限用户，也包括计算系统的游客。无论是具备权限的用户，还是游客，其操作云计算关联的计算机平台时，都有可能出现误操作的情况，从而影响到虚拟网络绑定的IP 地址运作流程，增加数据计算与分析失误的风险［5］。 同时，云平台关联性的计算机系统可能面临着各种网络病毒侵犯，增加虚拟网络系统中存储信息与数据泄漏风险。 另一方面，为了解决这些安全风险，可以对虚拟网络服务接口的运作标准进行规制，并备份出相应的运作程序作为租户行为检测模板。 依据模块，在虚拟网络服务系统中构建起相应的租户正常行为的模型，在模型自动化计算与分析下，完成对整个虚拟网络服务系统的监测，在出现误操作、误碰或虚拟网络绑定IP 地址更改情况下（一般受网络病毒侵犯），监控模型就会自动记录异常行为，并发出警报，同时开启应急管理工作，如：强制转回正常系统界面，阻止错误信息源出现。

3 云计算环境下虚拟网络安全防护技术运用

3.1 运用数据转发控制技术，建立SDN 控制器的流表监控系统

基于上文所述，数据转发控制技术的关键就是在虚拟网络系统中建立起能够监测租户行为的检测体系，通过流表监控与转发控制，对各种权限人员进行智能化管理，确保操作者在操作云平台时的行为规范与正确，也避免了部分人员恶意登录或篡改云平台信息。 为了实现转发控制技术的运用，有效防范各种人为风险，关键方法在于建立起软件定义网络（software defined network， SDN）控制器的流表监控系统［6］。 其建立步骤为：第一，选择目前市面上较为主流的SDN 控制器硬件设备，将其安装至云平台关联的交换机设备上，如：Open Flow 交换机设备。 第二，对SDN 控制器的对应控制软件界面进行布置与优化，设置对SDN 控制器控制与管理的流表监控模块。 第三，将SDN 控制器与转发控制单元连接，通过SDN 控制器系统对计算机的转发控制单元进行纵向监测，以实时跟踪虚拟网络系统操作人员的行为。 第四，SDN 控制器与上一个单元的流表监控模块连接，与下一个单元的控制单元连接，在中间发挥着过渡层作用（逻辑如图1 所示）。

图1 SDN 控制器的流表监控系统运行逻辑

3.2 利用多重身份认证技术，建立起完整的租户行为监控机制

云计算网络处于发展过程中，对于诸多新接入的设备，默认设置、弱口令等问题也比较普遍，尤其是与外部网络的接口处的身份认证就显得至关重要。 对于管理平台，尽量使用强口令且定期更换一次，除此之外需要多重身份认证，包含但不限于手机号码验证或指纹识别认证技术。尤其是对于上述提及的租户行为监控，其要想防止租户违法违规操作行为的发生，避免云平台关联性的计算机系统遭到破坏，更需要运用手机号码验证、指纹识别、人脸验证等技术，在基于可信调用层次关联层级中建立起多重身份认证模块，确保能够对每一名用户行为的跟踪与监督。 租户行为监控方法主要为：首先，调用云平台的各种接口，在相应的控制节点、计算机节点中进行虚拟机的创建和私有网络的创建，并进行相关更改、删除、接触映射等自动化运作模块的建立。 通过各个控制节点的监控模块建立为载入多重认证设备或系统奠定基础［7］。 其次，在云平台、计算机的各个端口节点的自动化检测模块支持下，在其相互连接的终端系统中载入人脸识别、身份证识别、手机号识别、指纹识别等多重身份认证模块。 其建议遵循着认证层次性与多元性特征，尽量保证各个认证层级之间关联与等级递进，比如：第一层设计“身份证+手机号+用户名”的认证模块，第二层级设计“人脸验证”模块，第三层级设定为“指纹识别”模块，通过三级身份认证系统，确保登录人员的身份匹配与安全，避免恶意内部运维管理人员的非法操作或其他人员的恶意行为。 最后，在多重身份认证系统的下一组单元层中建立起行为追溯与自动检测的模块，利用租户行为监控技术，对登录系统的人员操作行为、过程进行自动化监督、记录，确保操作人员行为的可追溯。

3.3 利用多层级数据过滤软件，建立起完整的防火墙防护体系

除了做好外部风险、内部风险的防范外，更应利用多层级数据过滤、检测软件，建立起能够防范各种网络病毒的防火墙防护体系，确保云平台数据资源的安全，避免数据信息泄漏。 同时，更要注重硬件设备的安全，加强对硬件设备维护，尽量避免硬件设备损坏带来的数据信息丢失或网络资源崩溃与BUG 出现。 例如：虚拟网络系统的网络病毒防护上，重点构建起基于云平台数据信息安全保护的网络防护网、资源安全监控系统等，对建立起的云平台数据模块内部局域网与外网实行物理隔层，通过射频识别定位，实时监控与记录每一条数据信息的走向。 同时，在计算机系统中下载目前市面上主流的病毒防护软件与广告、不良信息数据的过滤软件，联合射频识别定位技术，对整个云平台的数据走向与运作进行实时监督，在监测到网络病毒威胁时，可自动实现报警、数据信息隐藏、威胁数据的阻止与屏蔽等功能。 又如，硬件设备安全管理上，重点引进6S 管理理念，注重相关设备的整理（SEIRI）、整顿（SEITON）、 清扫（SEISO）、 清洁（SEIKETSU）、 素养（SHITSUKE）、安全（SECURITY）六要素。 重点做好硬件安全建设，引入先进的高端服务器、数据交换机、防火墙、路由器、光端设备、网络存储设备、计算机设备等等，由专管人员负责，形成安全监管小组，采取6S 管理理念，对硬件设备实施常态化巡视、评估，确保硬件设施安全［8］。

3.4 运用租户行为监控技术机制，搭建VPC 安全防护服务模型

现实情况表明，云计算环境的虚拟网络安全问题主要是网站入侵、网页内容篡改、数据泄漏、网络勒索、分布式拒绝服务攻击等等，针对这些网络安全风险隐患，防护技术要点就是对租户行为的监控，通过监控租户行为，及时发现网络系统运行情况及出现的风险因子［9］。 对此，针对上文提及的租户行为监控，可根据租户行为监控技术机制，通过虚拟化软件安全网关在云端的部署，搭建起虚拟私有云（virtual private cloud，VPC）全防护服务模型，使该模型与云计算服务控制端连接，达到对整个服务端运作的监控与安全防护（VPC 服务架构如图2 所示）。 搭建起VPC安全防护服务模型基础上，普通的云计算VPC 模型的租户，既可以将数字视频开发包／局部总线等安全业务安装在业务服务器内，也可以部署独立的安全业务网关服务器。 云计算服务商也可以选择分布式数字视频开发包／局部总线模型，建设高性能的安全业务资源池，此时多个VM 虚拟机或者独立的服务器资源逻辑上被认为是单一管理节点，对外提供高性能的安全业务。 这种情况下，虚拟多业务安全网关可以独立分配给不同租户，由于虚拟网关逻辑上相互独立，不会相互影响，因此可以由租户自行负责虚拟网关的管理，自主实现安全策略的配置管理，大大减轻服务提供商的维护工作量，满足租户完全独立管理需求［10］。

图2 VPC 安全防护架构

4 结语

总而言之，人工智能、大数据、5G 等新兴技术发展，网络安全问题日益凸显。 虚拟网络安全防护体系的搭建是云平台得以安全操作运行的基本前提，也是确保云平台使用者或权益方的数据信息安全的根本要求。 从云平台的操作与生成机制来讲，虚拟网络系统、租户行为监控系统、虚拟网络内部风险检测是虚拟网络安全防护的重点。 对于虚拟网络系统，主要面临着外界权限信息被篡改的风险，其需要运用到数据转发控制技术构建起数据转发控制软件与程序，辅助检测虚拟网络平台的运转行为。 对于租户行为、虚拟网络内部数据信息，则重点是运用租户行为监控技术，在云计算的源代码层级构建起能够监视租户行为与状态的程序，达到对操作者操作行为与管控，通过网络内部系统中载入目前先进的数据库技术、病毒防护软件，打造多元化、多层次的内部防护屏障，保障好云平台的安全性。